SASE и NGFW: в чём разница и что выбрать для сетевой безопасности
Главная » Аналитика » Анализ технологий
10 Июня 2026 - 16:56

Станет ли SASE альтернативой для NGFW

Аватар пользователя Игорь Новиков
Игорь Новиков
Обозреватель Anti-Malware.ru
Вверх
Проголосовало: 7
...
Станет ли SASE альтернативой для NGFW

Интеграция NGFW и SD-WAN стала важным этапом развития сетевой безопасности. Следующий шаг — переход к архитектуре SASE, где защита встроена в сеть изначально и соответствует принципам Zero Trust.

 

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Организационная структура сети SASE
  3. 3. Поддержка безопасности в сетях SASE
  4. 4. SASE и NGFW: в чем состоит их архитектурное отличие
  5. 5. SASE и NGFW: в чем состоит разница в работе системы безопасности
  6. 6. SASE или NGFW: что выбрать
  7. 7. Спрос российских заказчиков на внедрение SASE
  8. 8. Перспективы развития SASE в России и мире
  9. 9. Сценарий внедрения SASE в России
  10. 10. Выводы

Введение

В предыдущей статье было рассказано о развитии интеграции устройств межсетевого экрана нового поколения (Next-Generation Firewall, NGFW) с сетями программно-определяемых глобальных сетей (Software-Defined Wide Area Network, SD-WAN). Главная цель этого — развитие поддержки ИБ для программных сред виртуализации и контейнеризации с перспективой дальнейшего перехода к облачной или гибридной модели вычислений.

Следующим этапом развития, уже охватившим западные рынки, стало продвижение концепции «нулевого доверия» (Zero Trust). Она подразумевает введение постоянного контроля за устройствами в сети с целью предотвращения их подмены или фальсификации. Сети, выстроенные на базе этого принципа, способны безопасно объединить любые устройства с учётом расширенных границ их местоположения, охватив тем самым все возможные места дислокации пользователей. Поддержку концепции Zero Trust обеспечивают агенты безопасности. Сети этого типа получили название Secure Access Service Edge (SASE).

SASE представляет собой дальнейшее развитие технологии программно-определяемых глобальных сетей (SD-WAN), состоящее в их объединении со множеством решений безопасности, таких как:

  • защищённый веб-шлюз (Secure Web Gateway, SWG);
  • брокер безопасности доступа к облаку (Cloud Access Security Broker, CASB);
  • межсетевой экран как услуга (Firewall as a Service, FWaaS);
  • сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA).

Создаваемая единая облачная платформа SASE обеспечивает безопасность сетевых соединений, упрощает управление ИБ-функциями и отличается высокой гибкостью в настройке конфигураций сети с учётом реальных потребностей бизнеса.

Организационная структура сети SASE

С концептуальной точки зрения SASE качественно меняет представление о периметре сети. Теперь он представляет собой не некий граничный контур, охватывающий точки входа в глобальную сеть Интернет, а совокупность всех служебных и пользовательских точек доступа, находящихся внутри прежнего сетевого контура.

Задача SASE — обеспечить пользователям безопасное и эффективное взаимодействие с облаком, где бы они ни находились. Оптимизация сети достигается за счёт централизованного применения политик безопасности взамен прежней локальной настройки в точках периметра. SASE управляет трафиком через облачно-ориентированную сервисную платформу, интегрируя функции безопасности и сети.

 

Рисунок 1. Схема строения сети Secure Access Service Edge (SASE)

Схема строения сети Secure Access Service Edge (SASE)

 

Концепция пользовательского устройства в схеме SASE имеет более широкое толкование, чем в традиционных сетях. Оно может служить также узлом для подключения филиальной группы к «магистрали» и трансляции её трафика в центральное облако. Поэтому пользовательский узел в сети SASE должен обладать достаточным «интеллектом» и мощностью для передачи основной и вспомогательной рабочей нагрузки в облако, выполняя одновременно набор сетевых и защитных действий, которые в традиционных сетях возлагались на отдельные устройства.

По словам Ивана Рогалёва, руководителя BI.ZONE ZTNA, Secure Access Service Edge представляет собой архитектуру, которая объединяет пять направлений сетевых и ИБ-технологий:

  • SD-WAN (Software-Defined Wide Area Network) оптимизирует маршрутизацию, объединяет каналы связи и обеспечивает устойчивую работу филиалов и удалённых сотрудников;
  • FWaaS (Firewall as a Service) — облачный межсетевой экран, который фильтрует трафик, выявляет вторжения и защищает корпоративные ресурсы;
  • CASB (Cloud Access Security Broker) отвечает за контроль доступа к облачным сервисам, мониторинг действий пользователей, предотвращение несанкционированных операций и утечек данных в облаке;
  • ZTNA (Zero Trust Network Access) — современная альтернатива классическому VPN. Доступ предоставляется только после проверки личности пользователя (аутентификации) и безопасного состояния устройства (верификации). Это минимизирует риски возможной компрометации;
  • SWG (Secure Web Gateway) обеспечивает фильтрацию веб-трафика, блокировку вредоносных и фишинговых сайтов, предотвращает загрузку опасных файлов и защищает пользователей при выходе в интернет.

Таким образом, SASE сочетает в себе возможности глобальных сетей (Wide Area Network, WAN) с облачными функциями безопасности, такими как применение защищённых веб-шлюзов (SWG), организацию сетевого доступа с нулевым доверием (ZTNA), применение межсетевых экранов как услуги (FWaaS), контроль облачного доступа через брокеры безопасности (CASB). В отличие от традиционных межсетевых экранов, работающих на периметре сети, архитектура SASE реализует также функции безопасного доступа для пользователей и устройств, где бы они ни находились — внутри базового контура (например, в офисе) или работая удалённо.

Особенность SASE состоит в том, что это не просто разбросанный по сети набор функций, но ещё и способ их предоставления, благодаря которому они управляются из центральной консоли. Gartner описывает SASE как облачный сервис, позволяющий компаниям подключаться к распределённой инфраструктуре провайдера без необходимости разворачивать у себя все сопутствующие требованиям безопасности серверные компоненты — эти механизмы уже встроены в архитектуру SASE.

«На практике, — добавил Иван Рогалёв, — многие вендоры адаптировали модель под запросы бизнеса и стали предлагать гибридные варианты. В этом случае часть функций работает в облаке, а часть устанавливается локально».

Поддержка безопасности в сетях SASE

Главное отличие сетей SASE — это возможность интеграции функций безопасности в рамках единой платформы. Это делает их более гибкими и масштабируемыми по сравнению с традиционными сетями. Разница в подходе отражается и на устройствах безопасности, которые работают в сетях SASE.

Ключевые отличия модели SASE:

  • Облачная безопасность: модель SASE функционирует в облаке, не имеющем привычных для традиционных сетей внешнего контура и ядра. Это накладывает дополнительное требование: традиционные устройства NGFW должны быть дополнены поддержкой масштабирования, а их настройка и применение должны допускать более высокую гибкость.
  • Модель «нулевого доверия» (Zero Trust): SASE требует проведения аутентификации и авторизации пользователей и устройств перед доступом к любым сетевым ресурсам.
  • Консолидация различных ИБ-функций: отличительной особенностью SASE является то, что родственные службы безопасности по возможности объединяются. Это снижает сложность управления ими для ИТ-команд и способствует повышению безопасности в целом. Отметим также, что, по данным Palo Alto Networks, с переходом на сети SASE большинство компаний (94 %) добиваются роста производительности сети (главный показатель, на который сейчас обращают внимание при внедрении новых устройств NGFW) и сокращения затрат на её обслуживание.

«Хотя SD-WAN и ZTNA играют важную роль в модели SASE, только совместное использование всех компонентов SASE позволяет в полном объёме реализовать заложенные в неё возможности, в том числе функции безопасности», — отметил Иван Рогалёв.

SASE и NGFW: в чем состоит их архитектурное отличие

Между SASE и традиционными межсетевыми экранами имеются определённые отличия, которые заложены уже на уровне их архитектуры, функциональности и подходов, применяемых к сетевой безопасности.

Традиционные межсетевые экраны, в том числе NGFW, в основном ориентированы на организацию защиты через периметр. Размещаемые аппаратные решения формируют определённую границу вокруг внутренней сети предприятия (интрасети).

Обычно конфигурация системы защиты представлена большим количеством физических устройств. Каждое из них настраивается и эксплуатируется отдельно, поэтому процесс управления и масштабирования в такой конфигурации оказывается достаточно трудоёмким. Возможности для адаптации в случае динамичной смены требований, предъявляемых современными удалёнными рабочими местами и облачными средами, достаточно ограничены. Для перенастройки требуются значительные трудозатраты.

В основе архитектуры SASE лежит прежде всего применение технологии SD-WAN. Благодаря программному управлению можно осуществлять оптимизацию работы сетей и их производительности без снижения уровня безопасности.

Вместо защиты периметра в SASE используются принципы защиты на конечных точках. Безопасный доступ обеспечивается из любой точки входа в сеть. Это позволяет SASE улучшить пользовательский опыт и уменьшить задержку. Этим данная модель существенно отличается от традиционной, где в случае локальной потери производительности и роста задержек единственным выходом может быть только маршрутизация трафика через центр обработки данных.

На рисунке показаны основные различия между SASE и традиционными межсетевыми экранами.

 

Рисунок 2. Сравнение архитектуры традиционных межсетевых экранов и SASE

Сравнение архитектуры традиционных межсетевых экранов и SASE

 

SASE и NGFW: в чем состоит разница в работе системы безопасности

Разобравшись в архитектурных отличиях между SASE и межсетевыми экранами, выделим теперь различия в работе системы безопасности.

Далее приведено сравнение межсетевых экранов и SASE с точки зрения реализации системы управления безопасностью и применяемых подходов.

 

Рисунок 3. Реализация функций безопасности для традиционных межсетевых экранов и SASE

Реализация функций безопасности для традиционных межсетевых экранов и SASE

 

SASE или NGFW: что выбрать

Итак, сейчас существуют разные решения для выбора: существующие NGFW и сети нового типа SASE. Возникает вопрос, в пользу какого варианта сделать выбор. Если спуститься с высоты теоретических рассуждений к реальности, то возможность выбора на российском рынке сейчас достаточно условна.

Реальность заключается в том, что многие компании оказались перед выбором новых отечественных решений NGFW взамен уже установленных решений ушедших вендоров, которые нередко ещё продолжают находиться в эксплуатации. Есть ли смысл «революционизировать» корпоративную сеть, выбирая переход на направление SASE? Этот вопрос скорее теоретический, чем практический.

Поэтому мы стали искать разъяснения о том, что происходит в реальности, у практиков, имеющих большой опыт разработки собственных решений NGFW и их внедрения у заказчиков. Это — компания UserGate.

«Вначале давайте чуть-чуть поговорим о понятиях, — рассказал Михаил Кадер, архитектор клиентского опыта будущего UserGate. — А они крайне просты. Есть набор функций безопасности, например фильтрация трафика, контроль приложений, защита от вторжений и прочие. Далее следуют место их применения и стоимость, причём стоимость включает в себя ещё и оценку затрат на стадии эксплуатации

Тут-то и начинается та самая комплексная история современных предприятий. Где находятся пользователи? В целом — везде: и в больших офисах, и в маленьких точках присутствия, а временами ещё и дома. Наши приложения? Они как раз достаточно активно мигрируют в облака и (или) используют облачные сервисы — аналитику, ИИ и многие другие. Причём, как показывают многочисленные опросы, современные предприятия и организации используют несколько облаков одновременно.

Если у заказчика действительно так обстоят дела, то логически мы приходим к ряду выводов:

  1. Там, где много пользователей и данные обрабатываются в собственном центре обработки данных (ЦОД) или нескольких дата-центрах, в первую очередь мы ориентируемся на NGFW.
  2. Там, где людей мало, а точек их размещения много, например в торговых сетях, установка NGFW может оказаться изрядно затратной историей. При этом попытка реализовать защиту самостоятельно — нереалистичная задача просто потому, что слишком много усилий требует управление знаниями в области угроз и их предотвращения. Как раз SASE прекрасно справляется с такой задачей.
  3. Если сервисы и приложения расположены в облаке, то, конечно, работу с ними надо весьма подробно контролировать, в том числе взаимодействие через прикладные программные интерфейсы. И здесь без SASE тоже уже никуда.

Таким образом, идеальная картина современного мира — это гибридное распределение функций безопасности между NGFW и SASE. Выбор зависит от устройства ИТ-инфраструктуры компании.

«Кстати, в завершение комментария хотел бы отметить, что технологической основой SASE обычно является SWG — защищённый прокси. Если говорить о планах компании UserGate, то у нас хорошая технологическая основа для реализации как SASE, так и гибридных сценариев, о которых я говорил выше», — подытожил Михаил Кадер.

Спрос российских заказчиков на внедрение SASE

После 2022 года многие российские заказчики оказались перед выбором: им предстояло осуществить полную замену своей корпоративной системы безопасности. К такому решению их подталкивают регуляторные требования и объективные причины, вызванные прекращением технической поддержки западными вендорами своих решений NGFW.

Что делать в такой ситуации? Возникший рубеж можно совместить с переходом на новые технологии построения сетевого окружения. Такой выбор побуждает обратить внимание на SASE, учитывая, что эта технология позволяет снизить эксплуатационные расходы, одновременно повысив уровень защищённости.

Есть ли спрос на решения SASE со стороны российских заказчиков? Востребованы ли новые облачные подходы к организации системы защиты? Есть ли готовность рынка к такому выбору?

Как рассказал Антон Ведерников, руководитель направления продуктовой безопасности компании Selectel, «спрос на решения класса SASE на российском рынке пока не является массовым. Вместе с тем мы отмечаем растущий интерес компаний к комплексным облачным сервисам безопасности на фоне участившихся кибератак и благодаря возможности быстро масштабировать защиту без значительных капитальных вложений.

Чтобы предлагать клиентам доступ к современным средствам защиты через единое окно, Selectel развивает партнёрское направление сервисов информационной безопасности. Среди таких решений — межсетевые экраны, Anti-DDoS, WAF. Для разработчиков и поставщиков решений Selectel предоставляет ИТ-инфраструктуру, соответствующую российским и международным стандартам безопасности, на базе которой можно запускать облачные сервисы кибербезопасности, включая решения класса SASE.

Перспективы развития SASE в России и мире

Выбор SASE стал уже магистральным направлением прежде всего для США. Там на конец 2024 года на долю SASE, по оценкам аналитического агентства Grand View Research, уже приходилось 46,3 % мирового рынка. Во многом этому переходу способствовала президентская директива 2022 года, которая обязала все государственные органы и организации обеспечить полный переход на реализацию стратегии Zero Trust. Достижение этого результата путём внедрения обновлённых моделей устройств NGFW в рамках эксплуатации традиционных сетевых инфраструктур вряд ли реализуемо в полном объёме.

По данным Palo Alto Networks, уже к концу 2027 года почти 39 % глобальных компаний в мире перейдут на сети SASE. К этому их подталкивает активное использование облачных вычислений. В крупном бизнесе доля компаний, перешедших на эксплуатацию сетей SASE, уже составляет: в США — 68 %, в Европе — 59 %, в Азиатско-Тихоокеанском регионе — 61 %.

Ведущими глобальными вендорами решений SASE считаются Barracuda Networks, Inc., Cato Networks, Check Point Software Technologies Ltd., Cisco Systems, Inc., Hewlett Packard Enterprise Development LP, McAfee, LLC, Open Systems, Palo Alto Networks, Versa Networks, Inc. и Broadcom.

Ситуация в России гораздо сложнее. Сейчас в стране нет единой отечественной платформы SASE, а рынок ещё только формируется. Подобные сетевые конфигурации собирают из разных решений, выбирая ту или иную степень компромисса. Это требует основательной предварительной архитектурной проработки будущего решения и опытной команды интегратора.

Но даже при таком компромиссном подходе удаётся достичь определённой гибкости в организации сети, обеспечить соответствие требованиям ИБ и ФСТЭК России, не применяя при этом западных решений. Сети SASE в России уже работают, например, в банках, логистике, ритейле, компаниях-интеграторах ИТ-решений.

Сценарий внедрения SASE в России

Внедрение SASE обычно начинается с пилота. В случае его успешной реализации затем начинается поэтапное подключение новых отделов и филиалов, вводятся новые роли. В результате команда ИБ получает более высокую степень прозрачности и управляемости сети, а бизнес реже сталкивается с ИБ-инцидентами и уменьшает количество точек отказа.

Чаще всего внедрение начинается с UserGate NGFW или PT NGFW. Они реализуют фильтрацию трафика, глубокий анализ пакетов (Deep Packet Inspection, DPI), предоставляют прокси-функции, обеспечивают контроль приложений, веб-трафика и HTTPS. На базе маршрутизаторов вводится ограниченная поддержка SD-WAN, которая обычно выстраивается на базе решений BI.ZONE.

Запущенный в работу NGFW используется как центральный узел для хранения политик доступа, фильтрации и журналирования. Созданный пилот становится основой для построения архитектуры, приближённой по своей форме к SASE. Для полноты решения ему недостаёт распределённой облачной инфраструктуры для точек присутствия (Point of Presence, PoP), а также полноценной поддержки inline DLP. Имеются также особенности в управлении доступом, которые пока не позволяют в полной мере реализовать требования Zero Trust.

«Недавно Selectel подтвердил совместимость своей ИТ-инфраструктуры с решением для построения облачных центров мониторинга безопасности (Security Operations Center, SOC). Такой подход позволяет компаниям быстро запускать и масштабировать комплексные сервисы кибербезопасности, используя надёжную облачную инфраструктуру», — добавил Антон Ведерников.

Выводы

Технология SASE позволяет не только упростить ИТ-составляющую сетей, но и наполнить их средствами системной защиты без перегрузок по производительности и «лоскутной» сборки конфигураций, которые нередко становятся источником ИБ-инцидентов из-за сложности их регулярной поддержки. Реализовать подобные решения в России хотя и возможно на базе отечественных продуктов, но это потребует привлечения опытного и надёжного ИТ-интегратора. Будут ли российские компании заниматься разработкой и выпуском собственных решений SASE, как они стали активно создавать отечественные решения NGFW? Ответа на этот вопрос пока нет.

Полезные ссылки: 
> Почему интеграция NGFW и SD-WAN пока не стала приоритетом в России
> Обзор мирового рынка систем Secure Access Service Edge (SASE)
AM LiveКибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.